Rutiner och regelverk för att godkänna IT-system i Försvarsmakten

Författare:

  • Amund Gudmundson Hunstad

Publiceringsdatum: 2018-02-19

Rapportnummer: FOI-R--4526--SE

Sidor: 29

Skriven på: Svenska

Nyckelord:

  • IT-säkerhet
  • ackreditering
  • auktorisation
  • informationssäkerhetsdeklaration
  • Försvarsmaktens IT-process
  • informell granskning

Sammanfattning

Regler och rutiner ställer krav på Försvarsmaktens godkännande av IT-system ur IT-säkerhetsperspektiv för att godkännandet skall bli tillförlitligt och relevant. Observationer från IT-försvarsdagen 2017 indikerar brister och svårigheter inom cybersäkerhetsområdet. Med detta som startpunkt beskriver denna rapport vad som utgör ramarna för godkännande i termer av normsättande regelverk och hur tre olika rutiner för arbete med godkännande av IT-system har utarbetats vid Försvarets Materielverk och Försvarsmakten. De tre olika rutinerna jämförs på en övergripande nivå. Studien slutsats är att regler och rutiner är nödvändiga, men att deras användande inte med självklarhet når fram till snabba och tillförlitliga beslut om godkännande. Regler och rutiner har ett fokus på sekretess, samtidigt som tillgänglighet och integritet också är nödvändigt för adekvat och relevant säkerhet.